Огляд останнього Висновку Європейської ради із захисту даних щодо штучного інтелекту та захисту даних

Європейська рада із захисту даних (ЄРЗД) представила ключову Думку № 28/2024 щодо штучного інтелекту (ШІ) та захисту даних, яка висвітлює найактуальніші виклики для розробників, регуляторів та користувачів ШІ. У Думці розглянуто три основні аспекти: анонімність моделей ШІ, використання законного інтересу як правової підстави для обробки персональних даних, а також наслідки розробки ШІ із застосуванням незаконно оброблених персональних даних. Для українських компаній, що працюють у сфері ШІ, ці висновки мають не лише теоретичне, а й значне практичне значення, впливаючи на відповідність розроблених моделей встановленим вимогам, інноваційний потенціал і бізнес-процеси.

ШІ має величезний трансформаційний потенціал, але ризики його використання неможливо ігнорувати. 

Позиція ЄРЗД щодо анонімності визначає, що дотримання вимог щодо захисту персональних даних – це не лише наміри, але й необхідність демонстрації реальних дій. Висновок, поміж іншим, включає невичерпний перелік методів демонстрації анонімності, що носить рекомендаційний характер. Відтак, заяви розпорядників про те, що розробка та використання моделі ШІ здійснюється без використання персональних даних, повинні бути підкріплені вагомими доказами. Органи нагляду ретельно аналізуватимуть такі твердження, зокрема ризики повторної ідентифікації та атак із використанням інференції членства. Такий підхід передбачає підвищення стандартів та вимог щодо використання персональних даних, для розробників: прості заяви будуть недостатніми. Компанії повинні мати документацію, проводити технічні аудити та застосовувати сучасні методики для захисту даних і своєї репутації.

Для українських компаній виклик полягає в тому, щоб відповідати цим стандартам та орієнтуватися у складному регуляторному середовищі. Ризики особливо високі через транскордонний характер застосування ШІ. Невідповідність вимогам ЄС може призвести до репутаційних втрат, операційних збоїв та серйозних юридичних наслідків, включаючи штрафи або припинення діяльності. Водночас дотримання високих стандартів на ранніх етапах дозволить зміцнити довіру та репутацію компанії.

Висновки або позиція ЄРЗД щодо посилання на законний інтерес ще раз підкреслює складний баланс, який повинні забезпечувати розробники ШІ. Використання статті 6(1)(f) GDPR вимагає дотримання трьох строгих критеріїв: демонстрації законного інтересу, доведення необхідності обробки та забезпечення того, що обробка не порушує фундаментальні права суб’єктів персональних даних. 

При застосуванні посилання на законний інтерес особливої уваги заслуговує тлумачення етапів життєвого циклу моделі ШІ, представлене у Висновку, а саме, визначення окремої стадії розробки (в тому числі, навчання) та використання моделі ШІ. Нові критерії при застосуванні законного інтересу мають в рівній мірі застосовуватися на всіх стадіях життєдіяльності моделі. Наголос на прозорості, механізмах відмови та оцінках ризиків свідчить про необхідність ретельного планування. 

Для компаній, які використовують сторонні дані, здобуті з вебресурсів або від брокерів, вимоги відповідності ще суворіші. Прозорість – це не лише юридичне зобов’язання, але й спосіб побудови довіри. Недотримання цих вимог може призвести до втрати користувачів і підвищення уваги регуляторів.

Розробникам слід звернути увагу на ширші наслідки цих рекомендацій. Індустрія ШІ є своєрідним випробувальним майданчиком, де амбіції стикаються з етичними та правовими вимогами. Уявіть модель ШІ як досконалий оркестр – навіть одна неправильна нота (наприклад, незаконно оброблені персональні дані) може зруйнувати всю симфонію. ЄРЗД чітко зазначає: помилки у фазі розробки або ж на стадії використання можуть зіпсувати весь життєвий цикл моделі ШІ, що може призвести до вимог щодо перепідготовки, реінженерингу або навіть знищення. Це служить як суворим попередженням, так і можливістю. Раннє впровадження заходів відповідності дозволить українським компаніям позиціонувати себе як надійних партнерів у глобальній екосистемі ШІ.

Думка також звертає увагу на суспільні ризики, пов’язані з ШІ, від дискримінаційних результатів до створення дипфейків або поширення дезінформації. Ці питання мають особливу вагу у світі, де цифровий вплив стає дедалі потужнішим. Для компаній, які стикаються з обмеженими ресурсами, розуміння та пом’якшення цих ризиків є не лише питанням відповідності, але й захистом етичної цілісності їхніх інновацій. Заходи, як-от маскування даних, фільтри результатів та ініціативи прозорості (наприклад, картки моделей або щорічні аудити ШІ), стають не лише кращою практикою, але й стандартом індустрії.

Йдеться не лише про дотримання регуляторних вимог, але й про формування ролі компаній у світі, який все більше визначається викликами ШІ, що потребують вдумливого підходу та стратегічного мислення.